Sisällysluettelo
CSAM-asetus ja viestintäsalaisuuden haasteet – tarkka analyysi
EU:n CSAM-asetus (Child Sexual Abuse Material Regulation) on yksi kiistanalaisimmista viime vuosien lainsäädäntöhankkeista. Sen tavoitteena on estää lasten seksuaalisen hyväksikäytön materiaalin (CSAM) levittäminen verkossa, mutta se johtaa massavalvontaan ja end-to-end-salauksen (E2EE) murenemiseen. Tässä puretaan auki asetuksen sisältö, käsittely EU:ssa, detection order -mekanismi ja sen vaikutukset yksityisyyteen.
Kaikki tarkoitusperät eivät ole selvillä, miksi keskustelu ohjataan juuri CSAM hankkeen kautta viestisalaisuuden rikkomiseen. Telegram palvelun johtajan pidätys Ranskassa oli yksi vaihe valmistelussa.
On myös epäselvää, miksei keskustelussa mainita jo nyt viranomaisten käyttämiä valvontakeinoja joilla puhelimen näyttö pystytään peilaamaan poliisin katseltavaksi, laitteen sisältö lataamaan etänä tai vaikkapa seuraamaan kaikkea liikennettä. Miksi näistä ei keskustella, se on erinomainen kysymys.
1. Mikä CSAM-asetus on
Komissio julkaisi ehdotuksen toukokuussa 2022. Se sisältää:
- Riskinarviointivelvoitteen digipalveluille.
- Mahdollisuuden viranomaisen antamaan detection orderiin (havaintomääräys).
- Velvoitteen käyttää teknologiaa CSAM:n ja grooming-viestinnän havaitsemiseen.
- Uuden EU-keskuksen (EU Centre), joka ylläpitää indikaattorikantoja ja vastaanottaa ilmoitukset.
2. Aikajana EU-käsittelyistä
| Vuosi / kuukausi | Tapahtuma |
|---|---|
| 05/2022 | Komission ehdotus julkaistiin. |
| 07/2022 | EDPB & EDPS yhteislausunto: varoitus riskistä yleiseen skannaukseen ja E2EE:n murtamisesta. |
| 2023 | Neuvoston oikeuspalvelu: varoitus perusoikeusriskistä ja mahdollisesta kumoamisesta CJEU:ssa. |
| 2023–2024 | Parlamentin LIBE-valiokunta työsti tiukennuksia: vaatii E2EE:n säilyttämistä, detection orderien rajaamista. |
| 10/2024 | Parlamentin täysistunto hyväksyi kantansa, joka rajaa massaskannauksen pois. |
| 2024–2025 | Neuvosto laati kompromissin: vain kuvat/URL, E2EE-palveluissa pre-send-skannaus käyttäjän suostumuksella. |
| 2025 | Trilogit (komissio, neuvosto, parlamentti) jatkuvat – lopullinen teksti ei vielä valmis. |
3. Detection order – massavalvonta vai tapauskohtaisuus?
Detection order voidaan antaa, jos:
- On näyttö merkittävästä riskistä (palvelua käytetty huomattavassa määrin CSAM-tarkoituksiin).
- Palvelun omat toimet eivät riitä.
- Määräys on rajattu, aikarajoitettu ja oikeasuhtainen.
| Ominaisuus | Massavalvonnan riski | Tapauskohtainen malli |
|---|---|---|
| Kohde | Koko palvelu / kaikki käyttäjät | Rajattu osa, tietty sisältötyyppi |
| Sisältö | Teksti, kuvat, linkit, audio | Vain kuvat ja/tai URL (kompromissiluonnos) |
| Aika | Pitkä / avoin | Max 12–24 kk |
| Toteutus | Client-side scanning kaikille viesteille | Kohdennettu CSS, mutta silti viestin tarkastus ennen salausta |
Keskeinen havainto: myös tapauskohtainen malli murtaa E2E-salauksen arkkitehtonisesti, koska viestin sisältö tarkistetaan ennen salausta tai sen purkamisen jälkeen.
4. Miten salaus murretaan käytännössä
CSAM-asetus ei riko kryptografiaa matemaattisesti. Sen sijaan se velvoittaa palvelun tekemään niin sanotun client-side scanning operaation:
- Sovellus tarkastaa viestin sisällön ennen salausta käyttäjän laitteessa.
- Jos sisältö osuu indikaattoreihin (tunnettu sisältö, uusi sisältö, grooming), sovellus laukaisee raportin EU-keskukseen.
- Vasta sen jälkeen viesti salataan ja lähetetään vastaanottajalle.
Seuraukset: vaikka salaus pysyy muodollisesti ehjänä, viestin yksityisyys katoaa täysin, koska kolmas osapuoli (palvelu) tarkistaa kaiken sisällön. Tämä on periaatteellinen muutos E2E-luottamuksellisuuteen ja käytännössä poistaa kaiken yksityisyyden
5. Perusoikeudet ja oikeudelliset riskit
- EU:n perusoikeuskirjan artiklat 7 ja 8 takaavat viestinnän luottamuksellisuuden ja tietosuojan.
- EU-tuomioistuimen linja massadata-säilytyksestä on tiukka: valikoimaton ja yleinen seurantavelvoite on usein katsottu suhteettomaksi.
- Neuvoston oikeuspalvelun mukaan laaja detection order voi olla “erityisen vakava rajoitus” ja vaarassa kaatua oikeudessa.
6. Termisanasto
| Termi | Selitys | Merkitys |
|---|---|---|
| CSAM | Child Sexual Abuse Material, lasten seksuaalisen hyväksikäytön materiaali | Sääntelyn kohde |
| Detection order | Tuomioistuimen/viranomaisen määräys havaitsemisteknologian käyttöön | Voidaan rajata tai kohdentaa |
| Client-side scanning (CSS) | Viestin tarkistus käyttäjän laitteessa ennen salausta | Käytännössä “murtaa” viestien yksityisyyden |
| E2EE (end-to-end encryption) | Salausmalli, jossa vain lähettäjä ja vastaanottaja näkevät viestin sisällön | CSS rikkoo tämän periaatteen |
| EU Centre | Uusi keskus, joka ylläpitää indikaattoreita ja vastaanottaa raportit | Toimii keskitettynä tietopankkina |
| Hash-matching | Tiedoston digitaalisen sormenjäljen vertailu tunnettuun listaan | Käytetään tunnetun CSAM:n tunnistamiseen |
7. Yhteenveto
CSAM-asetus on yritys suojella lapsia verkossa, mutta se avaa oven teknologialle, joka voi muuttaa viestintäpalvelut valvontavälineiksi.
Keskeinen kiista:
- Kannattajat: Näkevät asetuksen välttämättömänä välineenä CSAM:n torjumiseen.
- Vastustajat: Pelkäävät, että siitä tulee helppo ennakkotapaus yksityisen viestinnän valvonnalle ja että se rikkoo perusoikeuksia.
Tulevien kuukausien keskustelut määrittelevät, säilyykö viestintäsalaisuus loukkaamattomana vai tuleeko EU:hun järjestelmä, joka mahdollistaa kohdennetun ja suhteellisuusvaatimukset täyttävän valvonnan, vai jääkö jopa riski yleiseen massaskannaukseen ja salattujen viestien sisällön laajamittaiseen tarkastukseen.
Käytännössä viranomaiset tekevät vastaavaa valvontaa jo esim Cellebrite ohjelmistolla ja useilla muilla keinoilla. Kyseessä on pitkälti yritys murtaa kaikki yksityisyys, kuten pankkisalaisuuden kanssa on jo tehty.
Tässä artikkelissa käydään läpi miten verovalvonnan arkkitehtuuri murtaa pankkisalaisuuden aivan täysin:
Aimo Virtanen
Lähteet:
EU:n tietopalvelut
